2006’da, ilk genel bulut sağlayıcısı olan Amazon Web Services (AWS), Elastic Computer Cloud (EC2) ve Simple Storage Services (Amazon S3) gibi genel kullanıma açık hizmetler sundu. Dört yıl sonra, 2010’da Microsoft, Microsoft Azure’u (başlangıçta Azure olarak adlandırılıyordu) başlattı. Son olarak, 2011’de Google, Google’ın dahili olarak kullandığı altyapıda çalışan bir dizi bulut bilişim hizmeti olan Google Cloud Platform’u (GCP) tanıttı.
Bugüne kadar bu üç bulut sağlayıcısı küresel bulut pazarına hakim oldu ve AWS pazar lideri konumunu korudu. Araştırmalar, 2010 ile 2020 arasında küresel bulut bilişim pazarının %535 artarak 24,6 milyar dolardan 156,4 milyar dolara çıktığını ve uzaktan çalışmanın popülerliğinin bu büyümeyi yönlendiren temel faktörlerden biri olarak kabul edildiğini gösteriyor.
Uzaktan çalışma ve bulut bilişim çağı
Covid-19 salgını sırasında güvenlik ve halk sağlığı endişeleri nedeniyle birçok kuruluş, karantina ve kısıtlamaların neden olduğu sosyal bozulma ile ekonomik yıkım arasında doğru dengeyi sağladığını düşünerek uzaktan çalışma planları uygulamaya koydu.
Pandemiden üç yıl sonra bile uzaktan çalışma, modern iş yerinde baskın bir trend olarak ortaya çıktı. WFHResearch’e göre, tam zamanlı çalışanların %12,7’si evden çalışıyor. Ek olarak %28,2’si, hem evden çalışmayı hem de ofiste çalışmayı birleştiren hibrit modele uyum sağladı. Aslında, şirketlerin %16’sı fiziksel bir ofis olmadan bile faaliyet gösteriyor. 2020’de işletmelerin %61’i iş yüklerini buluta taşıdı ve bu da bulut bilişimin uzaktan çalışmayı kolaylaştırmadaki önemini gösterdi.
Covid-19 salgını, işletmelerin çalışma biçimini dönüştürdü ve siber güvenlik manzarasını değiştirdi. Esnek, erişilebilir ve güvenilir teknolojiye olan ihtiyaç hiç bu kadar belirgin olmamıştı.
Siber Tehditlerin ve savunmaların evrimi
90’ların ortalarında, siber güvenlik sunucuların ve iletişimlerin fiziksel korumasına odaklanmıştı. Şifrelemenin yeterli olduğu düşünülüyordu. Ancak, ağlar büyümeye ve internet 1990’ların sonlarında patlamaya başladığında, güvenlik açıklarını kullanan kötü amaçlı yazılımların sayısının artması nedeniyle antivirüs yazılımı, güvenlik duvarları ve saldırı tespit sistemleri kavramı gündeme geldi.
2000 yılında, birçok bilgisayar programı dört basamaklı bir yılı temsil etmek için yalnızca iki basamak kullanıyordu ve bu da 2000 yılını 1900’den ayırt edilemez hale getirerek dünya çapındaki bilgisayar altyapılarını tehdit etme potansiyeli taşıyordu. Bu, Y2K hatası olarak biliniyordu. Aynı zamanda, CryptoWall, ZeuS, NanoCore ve Ursnif gibi kötü amaçlı yazılımların sayısı 2000’lerde önemli ölçüde arttı. BT profesyonelleri, güvenli kodlama uygulamaları ve saldırı önleme sistemleri de dahil olmak üzere savunmalarını geliştirdiler.
On yıl sonra, ulus-devlet tehdit aktörleri tarafından yapılan yüksek profilli ihlaller, siber güvenliğin önemini bir kez daha vurguladı. Örneğin, 2014’te Sony Pictures, Kuzey Koreli bir siber suç grubu tarafından 100 terabayt verinin çalındığı büyük bir veri ihlali yaşadı.
2010’lu ve 2020’li yıllar arasında bulut bilişimin (ve Nesnelerin İnterneti (IoT) cihazlarının) popülaritesinin artmasıyla birlikte, bu teknolojilerin güvenliğini sağlamak çoğu kuruluş için en önemli önceliklerden biri haline geldi.
Modern bir ikilem
IBM’in 2023 Veri İhlali Maliyeti Raporu’na göre, bir veri ihlalinin küresel ortalama maliyeti 4,45 milyon dolardı ve bu üç yılda %15’lik bir artışı ve 2022’ye kıyasla %2,2’lik bir artışı temsil ediyordu. Uzaktan çalışma da hesaba katıldığında, bir veri ihlalinin ortalama maliyeti neredeyse 1 milyon dolar arttı. Bu, uzaktan çalışmaya uyum sağlayan kuruluşların, uyum sağlamayanlara göre daha yüksek maliyetlerle karşı karşıya olduğunu gösteriyor.
Uzaktan çalışma modern işyerlerinin kaçınılmaz bir parçası haline geldikçe, kamu bulut bilişimi bu değişimi kolaylaştıracak bir araç olarak ortaya çıkıyor. Bu bağlamda, baş bilgi güvenliği görevlileri (CISO’lar) ve güvenlik uygulayıcıları kritik bir rol oynuyor. Bu teknolojilerin yalnızca kazara veya kasıtlı veri sızıntısını önlemek için güvenli ve emniyetli bir şekilde kullanılmasını sağlamakla kalmamalı, aynı zamanda kullanıcı etkisini de en aza indirmelidirler. Siber tehditlerin sürekli gelişen doğası göz önüne alındığında, bu kesinlikle zorlu bir görevdir.
İçeriden kaynaklanan risk
Geleneksel dış tehdit aktörlerinin yanı sıra, içeridekiler de aynı veya daha yüksek seviyede tehditlere sahiptir. 326 siber güvenlik uzmanının katıldığı Cybersecurity Insiders’ın 2023 Insider Threat Report’una atıfta bulunarak, işte bazı önemli çıkarımlar:
- Katılımcıların %68’i uzaktan ve karma çalışmaya geçtikten sonra içeriden kaynaklanan risk konusunda endişeli veya çok endişeli
- Katılımcıların %53’ü buluta geçişten bu yana içeriden gelen saldırıları tespit etmenin önemli ölçüde zorlaştığına inanıyor
- Ayrıcalıklı BT kullanıcıları/yöneticileri kuruluşlar için en büyük güvenlik risklerini oluşturmaktadır (%60), bunu yükleniciler/hizmet sağlayıcılar/geçici işçiler/satıcılar/tedarikçiler takip etmektedir.
Bu sonuçlar, içeriden kaynaklanan riskin CISO’ların ve güvenlik uygulayıcılarının ele alması gereken önemli bir endişe olduğunu göstermektedir. Çok faktörlü kimlik doğrulamayı (MFA) uygulama ve koşullu erişim politikalarını etkinleştirme gibi harici tehdit aktörlerinin verilere erişmesini önlemek için çok sayıda kontrol mevcut olsa da bu önlemler içeriden kaynaklanan riski azaltmak için yeterli olmayabilir. İçeriden kaynaklanan tehditler için uygun tespit mekanizmaları olmadan, bu kişilerin verilere zaten erişimi olduğu için kazara veya kasıtlı veri sızıntısı yine de meydana gelebilir. Bence, daha da büyük bir tehdit oluşturabilirler.
XDR – Genişletilmiş Algılama ve Yanıt
Ortalama olarak, kuruluşların bir veri ihlalini tespit edip bildirmesi 10 ay (veya 304 gün) sürdü. Ancak IBM’in raporunda, Genişletilmiş Algılama ve Yanıt (XDR) çözümüne sahip kuruluşların veri ihlali döngüsünü 29 güne önemli ölçüde azalttığı belirtildi. Peki, soru şu: XDR nedir?
XDR, geleneksel EDR yaklaşımının ötesine geçen uç nokta algılama ve yanıtlamanın (EDR) evrimidir. Yalnızca uç noktalardan veri değil, aynı zamanda kimlik, e-posta, bulut iş yükü ve daha fazlasını da alır. Ardından, tehditleri ve anormallikleri tespit etmek için gerçek zamanlı verileri ilişkilendirmek ve ayrıştırmak için gelişmiş makine öğrenimi (ML) ve yapay zeka (AI) kullanır. Birden fazla tehdit belirlenirse, bunlar önem düzeyine göre önceliklendirilir ve Güvenlik Operasyon Merkezi (SOC) analistlerinin olayları zamanında sınıflandırmasına ve araştırmasına olanak tanır. İlgili yapılandırmalarla, bazı olaylar otomatik araştırma ve yanıtlama (AIR) kullanılarak da çözülebilir.
Aynı zamanda, bazı XDR çözümleri genellikle veri sızıntısını en aza indirmek için aşağıdaki yeteneklerin bir kısmına veya tamamına sahiptir:
- Hassas bilgilerin ağ dışında paylaşılmasını önlemek için Veri Kaybı Önleme (DLP), genel buluttaki verileri korumak için hayati önem taşır
- Bulut Erişim Güvenlik Aracıları (CASB), bulut hizmeti kullanıcıları ile bulut sağlayıcıları arasında var olan güvenlik uygulama noktaları olarak hareket ederek bulut hizmetlerinin güvenli ve uyumlu kullanımını sağlamaya yardımcı olur
- Güvenli Web Ağ Geçitleri (SWG), kullanıcıları web ve bulut trafiğindeki olası tehditlerden koruyarak güvenli bulut tabanlı işlemler için olmazsa olmaz hale getirir.
Piyasada Microsoft Defender XDR, Palo Alto Network Cortex XDR ve Fortinet FortiXDR dahil olmak üzere çok sayıda XDR çözümü bulunmaktadır.
Bu çözümler harika görünüyor, ancak aynı zamanda pahalı ve aldatıcı. Kullanıma hazır dağıtımları güvenlikte yeterince kullanılmıyor.
“Benim deneyimime göre şans diye bir şey yoktur.” – Obi-Wan Kenobi, Jedi Ustası
Kariyerim boyunca, kuruluşlar güvenlik araçlarına zaten çok yatırım yapmış olmalarına rağmen, yine de veri ihlalleri yaşamalarına rağmen bir dizi olayın meydana geldiğini gördüm. Yapılandırmalar zaten özelleştirilmiş olsa da, tek seferlik yapılandırma hala yeterli değil. Ayrıca, optimum performansı sağlamak için her zaman bakımlarının yapılması gerekiyor.
Sıfır güven
Sıfır güven!? Kurumsal ağdaki kullanıcılara veya cihazlara ve VPN üzerinden bağlananlara güvenmememiz mi gerekiyor? Hayır, artık değil. Sıfır güven yeni trend. Kullanıcılar, güvenlik programınızda en çok hedeflenen ve en az korunan bağlantıdır.
Bu terim ilk olarak Stephen Marsh tarafından 1994 yılında Bilgisayar Güvenliği üzerine yaptığı doktora tezinde ortaya atılmıştır. 20 yıldan fazla bir süre sonra, 2018 yılında Ulusal Standart Teknolojisi Enstitüsü (NIST) ve Ulusal Siber Güvenlik Mükemmeliyet Merkezi (NCCoE), sıfır güveni “bir ağın tehlikeye atılmış olarak görülmesi durumunda bilgi sistemleri ve hizmetlerinde doğru, istek başına erişim kararlarını uygulamadaki belirsizliği azaltmak için tasarlanmış bir kavram ve fikir koleksiyonu” olarak tanımlayan NIST SP 800-207 Sıfır Güven Mimarisi’ni yayınladı. Bir yıl sonra, Ulusal Siber Güvenlik Merkezi (NCSC), ağ mimarlarına, özellikle genel bulut hizmetlerini kullanmayı planlayanlar olmak üzere BT dağıtımları için sıfır güven yaklaşımını değerlendirmelerini önerdi.
Sıfır güvenin üç temel ilkesi şunlardır:
- En az ayrıcalıklı erişimi kullanın: Kullanıcı erişimini Tam Zamanında (JIT) ve Yeterli Erişim (JEA) denetimleriyle sınırlayarak, tehlikeye atılmış bir hesabın potansiyel hasarı en aza indirilir.
- Açıkça doğrulayın: Güven asla varsayılmamalıdır. Her kullanıcı ve her erişim isteği, tüm mevcut veri noktalarına göre doğrulanmalı ve yetkilendirilmelidir. Bu, yalnızca kullanıcının konumunu veya IP adresini doğrulamanın ötesine geçer.
- İhlal olduğunu varsayın: Ağınız zaten tehlikeye atılmış gibi çalışın. Uçtan uca şifreleme kullanın ve görünürlük kazanmak, tehdit odaklı tespitleri yönlendirmek ve savunmaları sürekli olarak iyileştirmek için analitiği kullanın.
Sıfır güven yaklaşımını benimsemek, özellikle genel bulut hizmetlerinden yararlanırken bir kuruluşun güvenlik duruşunu önemli ölçüde iyileştirebilir.
Son düşünceler
Kamu bulut hizmetlerinin yükselişi ve uzaktan çalışmaya olan artan bağımlılık bulut bilişim tarafından kolaylaştırılmaktadır. Bu değişimle birlikte siber güvenlik manzarası evrim geçirerek yeni tehditler ve zorluklar ortaya çıkarmıştır. İşletmeler artık veri sızıntısını önlerken teknolojinin güvenli ve emniyetli kullanımını sağlama ikilemiyle karşı karşıyadır. Bu görev, içeriden kaynaklanan riskleri de göz önünde bulundurması gereken CISO’lara ve güvenlik uygulayıcılarına düşmektedir. XDR gibi gelişmiş güvenlik çözümleri ve sıfır güven kavramı tartışılmaktadır. Tehditlerin karmaşıklığına ve evrimleşen doğasına rağmen, doğru strateji, araçlar ve sürekli dikkat ile işletmeler kamu bulut hizmetlerinden güvenli ve emniyetli bir şekilde yararlanabilir.
Jason Lau, Quorum Cyber’da kıdemli bulut güvenliği danışmanıdır.